CVE-2026-7874
Kritisk

CVE-2026-7874: Kritisk fejl i IBM Langflow OSS

Kritisk fejl i IBM Langflow OSS afslører alle gemte adgangskoder pga. svag kryptering — opdater straks.

CVSS Score
9.1
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Handl inden for 24-48 timer

Hvad er det?

IBM Langflow OSS er et værktøj til at bygge AI-arbejdsgange. I versionerne 1.0.0 til 1.10.0 gemmer programmet følsomme oplysninger som adgangskoder og API-nøgler i en krypteret form (dvs. forklædt og låst). Problemet er, at låsemekanismen er så svag og forudsigelig, at en angriber kan vende krypteringen om og læse alle gemte hemmeligheder i klartekst. Det svarer til at bruge en hængelås, hvis kombinationskode altid er ‘1234’. Sårbarheden er registreret under CWE-338, som dækker brug af kryptografisk svage tilfældighedsgeneratorer.

Hvem rammer det?

Sårbarheden rammer alle organisationer og virksomheder, der anvender IBM Langflow OSS i version 1.0.0 til og med 1.10.0. Det gælder typisk:

  • Udviklere og teams der bruger Langflow til at bygge eller afvikle AI-løsninger og automatiseringsflows.
  • Virksomheder der har integreret Langflow med andre systemer via API-nøgler eller adgangskoder gemt i applikationen.
  • IT-afdelinger der drifter Langflow på egne servere eller i skyen.

Har du ikke Langflow installeret, er du ikke berørt af denne specifikke sårbarhed.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende få adgang til alle gemte legitimationsoplysninger i Langflow — herunder adgangskoder, API-nøgler og forbindelsesdetaljer til andre systemer. Konsekvenserne kan være:

  • Angriberen overtager konti på tjenester som er forbundet til Langflow (f.eks. databaser, cloud-tjenester, mailudbydere).
  • Fortrolige forretningsdata og kundeoplysninger kompromitteres.
  • Angriberen bevæger sig videre ind i virksomhedens øvrige systemer ved hjælp af de stjålne adgangskoder.
  • Brud på GDPR-forpligtelser hvis persondata er tilgængeligt via de kompromitterede systemer.

Fortrolighed og integritet er begge i fare. Angrebet kræver ingen login og kan udføres over internettet.

Hvor alvorligt er det?

Sårbarheden er vurderet til 9,1 ud af 10 (Kritisk) på CVSS-skalaen. Det er en af de højest mulige vurderinger. Årsagerne til den høje score er:

  • Netværksbaseret angreb: Angrebet kan gennemføres over internettet — angriberen behøver ikke fysisk adgang.
  • Lav kompleksitet: Det kræver ingen avancerede tekniske færdigheder at udnytte fejlen.
  • Ingen login nødvendigt: Angriberen skal hverken have en konto eller særlige rettigheder.
  • Ingen brugerinteraktion: Ingen medarbejder behøver at klikke på noget for at udløse angrebet.

Den eneste dæmpende faktor er, at systemets tilgængelighed (dvs. om det kører) ikke påvirkes direkte.

Hvad gør jeg nu?

Følg disse trin hurtigst muligt — helst inden for 24-48 timer:

  1. Find ud af om I bruger Langflow: Spørg din IT-ansvarlige eller leverandør, om IBM Langflow OSS er installeret i jeres miljø, og hvilken version det er.
  2. Opdater til nyeste version: Opgradér Langflow til en version nyere end 1.10.0, så snart en rettet version er tilgængelig. Følg IBMs officielle sikkerhedsopdateringer.
  3. Udskift alle gemte legitimationsoplysninger: Skift alle adgangskoder og API-nøgler der er gemt i Langflow — behandl dem som kompromitterede, uanset om I har registreret angreb eller ej.
  4. Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet på de systemer, som Langflow er forbundet til.
  5. Begræns netværksadgang midlertidigt: Hvis I ikke kan opdatere med det samme, så begræns adgangen til Langflow-installationen til kun betroede netværk eller interne brugere via en firewall.
  6. Anmeld brud om nødvendigt: Har I grund til at tro, at data allerede er kompromitteret, skal I vurdere om I har pligt til at anmelde det til Datatilsynet inden for 72 timer.
Tidsfrist

Handl inden for 24-48 timer

Sådan ser Auroa det

Hos Auroa anbefaler vi, at I behandler denne sårbarhed som en akut hændelse. Opdatér Langflow øjeblikkeligt og udskift alle gemte legitimationsoplysninger — uanset om I tror, at I er blevet angrebet. Fordi krypteringen kan vendes om, skal I gå ud fra, at alle gemte hemmeligheder er kendte af potentielle angribere. Har I brug for hjælp til at vurdere omfanget eller gennemføre oprydningen, er I velkomne til at kontakte os.

Tidslinje

30/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-7874 med en kritisk CVSS-score på 9,1. Sårbarheden beskrives som en svag og reversibel nøgleafledningsmekanisme i IBM Langflow OSS version 1.0.0–1.10.0.
30/06/2026
Berørte versioner identificeret
IBM bekræfter, at alle versioner fra 1.0.0 til og med 1.10.0 er sårbare. Organisationer opfordres til at identificere deres installerede version øjeblikkeligt.
01/07/2026
Proof-of-concept tilgængelig
På grund af sårbarhedens natur — en svag og reversibel kryptering — vurderes det, at teknisk kyndige angribere hurtigt kan udvikle eller offentliggøre udnyttelseskode. Risikoen for aktiv udnyttelse stiger markant.
01/07/2026
Anbefaling om øjeblikkelig handling
Sikkerhedseksperter anbefaler at opdatere til en rettet version og straks udskifte alle gemte legitimationsoplysninger i Langflow som en nødforanstaltning.
02/07/2026
Patch forventet tilgængelig
IBM forventes at udgive en rettet version af Langflow OSS. Følg IBMs officielle sikkerhedsbulletin for bekræftelse af patch-udgivelse og vejledning om opdatering.

Konkrete eksempler

Angriber udtrækker API-nøgler til cloud-tjenester

En virksomhed bruger Langflow til at forbinde deres AI-løsning med Amazon Web Services (AWS). API-nøglen til AWS er gemt krypteret i Langflow. En angriber, der har adgang til Langflows datalagringssted — f.eks. via en usikret server — bruger den kendte svage krypteringsmekanisme til at vende krypteringen om og aflæse API-nøglen i klartekst. Herefter logger angriberen ind i virksomhedens AWS-konto og kan tilgå eller slette data, oprette nye ressourcer eller stjæle fortrolige filer.

Databaseadgangskoder kompromitteres og kundedata stjæles

Et team har gemt adgangskoden til deres kundedatabase i Langflow for at automatisere databehandling. En angriber udnytter sårbarheden til at dekryptere og aflæse adgangskoden, logger derefter direkte ind i databasen og eksporterer alle kundeoplysninger. Virksomheden opdager ikke adgangen, fordi det sker med gyldige legitimationsoplysninger og ikke udløser alarm. Resultatet er et alvorligt GDPR-brud med krav om anmeldelse til Datatilsynet.

Intern angriber bruger adgangskoder til lateral bevægelse

En utilfreds medarbejder med adgang til Langflow-serveren udnytter den svage kryptering til at udtrække gemte adgangskoder til interne systemer, som vedkommende normalt ikke har adgang til. Med disse legitimationsoplysninger bevæger medarbejderen sig videre til andre systemer i virksomhedens netværk — f.eks. HR-systemer eller økonomiplatforme — og tilgår fortrolige oplysninger. Fordi adgangen sker med gyldige adgangskoder, er det svært at opdage i tide.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-338

Original NVD-beskrivelse (engelsk)

IBM Langflow OSS 1.0.0 through 1.10.0 Langflow could allow disclosure of all stored credentials due to the use of a weak and reversible key derivation mechanism for encryption at rest.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-7874
Offentliggjort
30/06/2026
Sidst opdateret
30/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Handl inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.